Meldplicht Datalekken

Meldplicht Datalekken 

Met de intrede van de meldplicht datalekken per 1 januari 2016 bent u verplicht melding te maken van een datalek in uw beveiliging. Uw organisatie dient voldoende passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen onder meer onbevoegde inzage, onbedoelde wijziging of vernietiging van gegevens.

Heeft u vragen over de meldplicht datalekken? Wij helpen u graag.

STEL UW VRAAG

Vanaf 2018 volgens de AVG

Momenteel is de Meldplicht Datalekken opgenomen in de Wbp. Doordat de AVG directe werking heeft, zal de Wbp, inclusief de Meldplicht datalekken, ingetrokken worden en moet u zich vanaf 25 mei 2018 houden aan de meldplicht zoals in de AVG is gesteld. De AVG stelt onder andere dat u alle datalekken moet documenteren. Dit gaat verder dan de huidige protocolplicht uit de Wbp, die alleen betrekking heeft op de gemelde datalekken.Met deze documentatie moet de Autoriteit Persoonsgegevens kunnen controleren of u aan de meldplicht heeft voldaan.

Wees goed voorbereid op een datalek

Digitalisering van de zorg, data in de Cloud, uitwisseling van zorggegevens middels mobiele telefoons of tablets of het koppelen en analyseren van data; het is een grote uitdaging om goede privacybescherming te bieden.

  • Wordt de privacy binnen uw organisatie wel voldoende beschermd?
  • Hebben mensen voldoende zeggenschap over wat er met hun (medische) gegevens gebeurt?

U bent met de intrede van de meldplicht datalekken verplicht melding te maken van een lek in uw beveiliging, waardoor persoonsgegevens in onbevoegde handen zijn gekomen of zijn vernietigd.

  • Is uw zorgorganisatie goed ingericht op bescherming van persoonsgegevens?
  • En is uw organisatie voldoende voorbereid op een lek?

Consequenties

Het verzuimen van de meldplicht kan grote gevolgen hebben voor uw zorgorganisatie. Op het niet melden van een datalek staan namelijk hoge boetes die kunnen oplopen tot maximaal ruim 800.000 euro!

Een goede voorbereiding kan voorkomen dat u wordt overvallen door een datalek en het risico loopt om een aanwijzing of boete opgelegd te krijgen. Door het nemen van de juiste maatregelen beveiligt u de persoonsgegevens van uw patiënten en cliënten, maar ook die van bijvoorbeeld de medewerkers van uw eigen organisatie. En daar draait het allemaal om.

Eerste Hulp Bij Datalekken

Voorkom dat u wordt overvallen door een datalek en daarmee het risico op een aanwijzing of een boete. Met een goede voorbereiding beveiligt u de gegevens van uw patiënten en cliënten én die van uw eigen organisatie.

Voor tips en aandachtspunten kunt u onze factsheet raadplegen.

Download factsheet Eerste Hulp Bij Datalekken

F.A.Q.

Wat betekent de meldplicht datalekken voor mij als organisatie?

Treedt er bij uw organisatie een datalek op waarbij er kans is op verlies of onrechtmatige verwerking van persoonsgegevens? Dan kunt u verplicht zijn een melding te doen bij de Autoriteit Persoonsgegevens. Of u een datalek wel of niet moet melden, hangt af van de ernst van het datalek.

In bepaalde gevallen moet u ook de betrokkenen informeren over het datalek. Dat zijn de personen van wie u gegevens verwerkt. Ook hierbij hangt het van de ernst van het datalek af of u dit wel of niet moet doen.

Overtreding meldplicht datalekken
Is de meldplicht datalekken ingegaan en meldt u een datalek ten onrechte niet bij de Autoriteit Persoonsgegevens? Dan kan de Autoriteit Persoonsgegevens u een boete geven.

Meldplicht datalekken Telecommunicatiewet
Biedt u openbare elektronische communicatiediensten aan? Dan was u ook voor 1 januari 2016 al verplicht om datalekken te melden op grond van de Telecommunicatiewet. Dit deed u bij de Autoriteit Consument en Markt (ACM).

Deze meldplicht blijft bestaan. Per 1 januari 2016 doet u deze meldingen niet meer bij ACM, maar bij de Autoriteit Persoonsgegevens. U gebruikt hiervoor hetzelfde meldformulier van het meldloket datalekken waarmee u ook de overige datalekken meldt.

bron: Autoriteit Persoonsgegevens

Wanneer legt de Autoriteit Persoonsgegevens een boete op als een datalek niet is gemeld?

De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. Voor overtreding van de meldplicht datalekken uit de Telecommunicatiewet kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 900.000 euro.

In de Boetebeleidsregels Autoriteit Persoonsgegevens 2016 staat hoe de Autoriteit Persoonsgegevens de hoogte van boetes bepaalt.

Bindende aanwijzing
Is de overtreding niet opzettelijk gepleegd? En is er geen sprake van ernstig verwijtbare nalatigheid? Dan legt de Autoriteit Persoonsgegevens eerst een bindende aanwijzing op. Daarna legt de Autoriteit Persoonsgegevens eventueel een boete op.

Overwegingen boete datalek
Bij het opleggen van een boete houdt de Autoriteit Persoonsgegevens rekening met alle omstandigheden van het geval. Een omstandigheid van het geval is bijvoorbeeld dat de gelekte gegevens niet door derden zijn ingezien.

Boetebevoegdheid Autoriteit Persoonsgegevens
Sinds 1 januari 2016 heeft de Autoriteit Persoonsgegevens een boetebevoegdheid.

bron: Autoriteit Persoonsgegevens

Wat is een datalek precies?

Bij een datalek gaat het om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van gegevens, maar ook onrechtmatige verwerking van gegevens.

We spreken van een datalek als er een inbreuk is op de beveiliging van persoonsgegevens (zoals bedoeld in artikel 13 van de Wet bescherming persoonsgegevens). Bij een datalek zijn de persoonsgegevens blootgesteld aan verlies of onrechtmatige verwerking – dus aan datgene waartegen de beveiligingsmaatregelen bescherming moeten bieden.

Voorbeelden datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden aan betrokkenen?

Nee. U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer.

Melden datalek niet nodig
U mag de melding aan de betrokkenen eventueel achterwege laten als u passende technische beschermingsmaatregelen heeft getroffen, waardoor de gelekte persoonsgegevens onbegrijpelijk of ontoegankelijk zijn voor onbevoegden. Bijvoorbeeld goede encryptie.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkenen.

Ook helpen deze beleidsregels u met de vraag of de door u getroffen technische beschermingsmaatregelen de gegevens onbegrijpelijk of ontoegankelijk hebben gemaakt voor onbevoegden.

bron: Autoriteit Persoonsgegevens

Moet ik alle datalekken melden bij de Autoriteit Persoonsgegevens?

Nee. U hoeft een datalek alleen te melden als dit leidt tot ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Of als een aanzienlijke kans bestaat dat dit gebeurt.

Beleidsregels meldplicht datalekken
De beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens kunnen u helpen om te bepalen of sprake is van ernstige nadelige gevolgen.

Actueel

Eerste Hulp Bij Datalekken

Met de intrede van de meldplicht datalekken per 1 januari 2016 bent u verplicht melding te maken van…

Functionaris Gegevensbescherming

Op het moment dat de AVG in werking treedt (25 mei 2018), zijn zorginstellingen verplicht een FG aan…

Masterclass Gegevensuitwisseling in de zorg

De opleiding Gegevensuitwisseling in de Zorg geeft u actuele kennis en concrete handvatten voor het …

Privacy Officer as a Service

Onze Privacy Officers maken samen met u de vertaalslag van geldende en toekomstige privacyregelgevin…

Hoe ga je om met het verzamelen en delen van persoonsgegevens in de zorg?

Lees onze tips en aandachtspunten

Publicaties Meldplicht Datalekken

Tips Privacy | Wat u echt móet weten van de AVG

30 August 2017

De Algemene Verordening Gegevensbescherming (AVG) treedt al op 25 mei 2018 in werking. Maar nog stee…

Blog Privacy | Gemeenten zo lek als een mandje?

03 April 2017

Wees zorgvuldig met uitwisseling van patiëntgegevens. Aangezien gemeenten nu ook verantwoordelijk z…

Blog Privacy | De zorg in top 3 met de meeste datalekken 2016

03 April 2017

Volgens de Autoriteit Persoonsgegevens blijkt dat 5.000 meldingen van een datalek maar liefst 1.000 …

Gerelateerde expertise

©2018 Cure4 |

Werken bij Cure4 | Privacy statement | Disclaimer | Over Cure4 | Aanmelden Nieuwsbrief
Contact